REPUBllQUE FRANC 



IREC'D 2 6 APR 2000 

mmKmmm INSTITUT j I . 

NATIONAL DE V^* I ^ T 

LA PROPRIETE I IWIPO PCT 

INDUSTRIELLE \ ULv^M ^ — 



BREVET D' INVENTION 



CERTIFICAT D'UTILITE - CERTIFICAT D'ADDITION 



COPIE OFFICIELLE 

Le Directeur general de I'lnstitut national de la propriete 
industrielle certifie que le document ci-annexe est la copie 
certifiee conforme d'une demande de titre de propriete 
industrielle deposee a I'lnstitut. 

Fait a Paris, le 3 1 MARS 2000 



PRIORITY DOCUMENT 

SUBMITTED OR TRANSMITTED IN 
COMPLIANCE WITH 
RULE 17.1(a) OR(b) 



Pour le Directeur general de I'lnstitut 
national de la propriete industrielle 
Le Chef du Departement des brevets 




Martine PLANCHE 



BEST AVAILABLE COPY 




THIS PAGE BLANK (uspto) 




nrou»rinui 



BREVET DTNVENTION 



26bis, rue de Saint-Petersbourg 
75800 Paris Cedex 08 

Telephone: 01 53.04.53.04 Telecopie: 01.42.94.86.54 



Code de la propriete intellectuelle-livreVI 
REQUITE EN DSUVRANCE 



0 


RESERVE A L'INPI 




0-1 


Date de remise des pieces 




0-2 


N° d'enregistrement national 


l^to*.> 


0-3 


Departement de depdt 




0-4 


Date de depdt 










a£ 


Titre de I'invention 


Precedes de contre-mesure dans un composant electronique mettant en oeuvre 
un algorithme de crvtographie a de publique de type courbe eiliptique 


0-8 


Etablissement du Rapport de 
Recherche 


immediat . - 


0-9 

1 


DEMANDEUR(s) 


GEM652 " "~ 


1-1 


Norn 
Suivi par 
Adresse rue 

Adresse code postal et vtlle 
Pays 

Nationality 
Forme juridique 
N° SIREN 
Code APE-NAF 
N* de telephone 
N° de tele'copie 
Courier e'lectronique 


GEMPLUS 

BRUYERE Pierre 

Avenue du Pic de Bertagne 

Pare d'Activites de Gemenos 

13881. GEMENOS 

France 

France 

SCA 

349 711 200 
321B 

04.42.36.69.06. 
04.42.36.63.43. 
natha!ie.herail@gemplus.com 


4 


Declaration de PRIORITE ou 
REQUETE du benefice de la date de 
depdt d'une demande anterieure 


Etat 


Date 


N° de la demande 


6 

6-1 
6-2 
6-3 
6-4 


Documents et Fichiers joints 
Description 
Revendications 
Listage de sequences 
Rapport de recherche 


Fichier electronique 
gem652.doc 
gem652.doc 


Pages 

17 
6 


Details 

17 


7 


Mode de paiement 


Prelevement du compte courant 


7-1 
7-2 


NumGro du compte client 
Remboursement a effectuer sur le 
compte n* 


2381 1 ■ 
2381 


8 


REDEVANCES 

062 Depdt 

063 Rapport de recherche (R.R,) 

068 Revendicatson a partir de la 1 1eme 
Total £ acqurtter 


Devise 
FRF 
FRF 
FRF 
FRF 


Taux 

250.00 
4 200.00 
115.00 


Montant a payer 

250.00 

4 200.00 
805.00 

5 255.00 



1/2 




NONNENMACHER Bernard 
Directeurde !a Propriety IndustrieMe 
GEMPLUS 



La loi n 0 78-17 du 6 Janvier 1 978 relative a I'informatique aux fichiers et aux liberies s'applique aux reponses faites a ce formulaire 
Elle garantit un droit d'acces et de rectification pour les donnees vous concernant aupres de I'lNPI. 



2/2 



BREVET DTNVENTION 



Designation de I'inventeur 



Reference utilisateur: 
Reference systeme: 

N* d'enregistrement national: 


GEM652 

111111 729774,634001 62 

43 o ±3*>0 


Titre de Tinvention: 


Precedes de contre-mesure dans un composant 
6lectronique mettant en oeuvre un algorithme de 
crytographie d c!6 publique de type courbe elliptique 


Designe(nt) en tant qu*inventeur(s): 


NONNENMACHER Bernard 
Directeur de la Propriety Industrielle 
GEMPLUS 


Norn, Prenom: 
Adresse: 


COROIM, Jean-S6bastien 
45rued'ULM 
F-75005 PARIS 
France 


Signe par 

En quaiite de: 
Date: 


NONNENMACHER Bernard 
Directeur de la Propriety Industrielle 
GEMPLUS 

Directeur de la Proprtete Industrielle 
25 mars 1999 




INPI 

la fttraim 



1/1 




DOCUMENT COMPORTANT DES MODIFICATIONS 



PAGE(S) DC LA DESCRIPTION OU OES REVENDICATIONS 
OU PLANCHE(S) DE DESSIN 




DATE 
DE LA 

CORRESPONDANCE 


TAMPON OATEUR 
DO 

CORRECTEUR ^ 


Modifice(s) 


Supprfmee(s) 


Ajoutee(s) 


R«M« 












— \ e ntt. w% z % f 



































































































Un changement apporte" a la redaction des revindications d'origine. sauf si celuk:i decoule des dispositions de ('article R 612-36 
du code de la Propriete Intellectuelle. est signale par la mention «R.M.» (revendications modifies). 



PROCEDES DE CONTRE-MESURE DANS UN 
COMPOSANT ELECTRON IQUE METTANT EN CEUVRE 
UN ALGORITHME DE CRYPTOGRAPHIE A CLE 
PUBLIQUE DE TYPE COURBE ELLIPTIQUE 

La presente invention concerne un procede de 
contre-mesure dans un composant electronique 
mettant en oeuvre un algorithme de chiffrement a 
c!6 publique de type courbe elliptique 

5 

Dans le modele classique de la crypt ographie a 
clef secrete, deux personnes desirant 

communiquer par 1 ' int ermediaire d'un canal non 
securis<§ doivent au prealable se mettre d'accord 

10 sur une cle secrete de chiffrement K. La 
fonction de chiffrement et la fonction de 
dechif f rement utilisent la meme clef K. 
L' inconvenient du systeme de chiffrement £ cle 
secrete est que ledit systeme requiert la 

15 communication prealable de la cle K entre les 
deux personnes par 1 ' interm^diaire d'un canal 
securise, avant qu'un quelconque message chiffre 
ne soit envoys a travers le canal non securise. 
Dans la pratique, il est generalement difficile 

20 de trouver un canal de communication 
parfaitement securise, surtout si la distance 
separant les deux personnes est importante. On 
entend par canal securise un canal pour lequel 
il est impossible de connaitre ou de modifier 

25 les informations qui transitent par ledit canal. 
Un tel canal securise peut etre realist par un 
cable reliant deux terminaux, possedes par les 
deux dites personnes. 



Le concept de crypt ographie a clef publique fut 
invente par Whitfield DIFFIE et Martin HELLMAN 
en 1976. La crypt ographie a clef publique permet 
de resoudre le probleme de la distribution des 
clefs a travers un canal non securis6. Le 
principe de la crypt ographie a clef publique 
consiste a utiliser une paire de clefs, une clef 
publique de chi f f r ement et une clef privee de 
dechif f rement . II doit etre calculatoirement 
infaisable de trouver la clef privee de 
dechif fr ement a partir de la clef publique de 
chi ff rement . Une personne A de s i rant communique r 
une information a une personne B utilise la clef 
publique de chiff rement de la personne B. Seule 
la personne B possede la clef privee associee a 
sa clef publique. Seule la personne B est done 
capable de dechif frer le message qui lui est 
adresse . 

Un autre avantage de la crypt ographie a cl6 
publique sur la crypt ographie a cle secrete est 
que la cryptographie a clef publique permet 
1' authentif ication par 1 ' ut i 1 i s a t i on de 

signature e lect ronique . 

La premiere realisation de schema de chiffrement 
a clef publique fut mis au point en 1977 par 
Rivest, Shamir et Adleman, qui ont invente le 
systeme de chiffrement RS A . La securite de RSA 
repose sur la difficulty de factoriser un grand 
nombre qui est le produit de deux nombres 
premiers . 



Depuis, de nombreux systemes de chiff rement a 
clef publique ont ete proposes, dont la securite 
repose sur differents problemes calculat oires : 
(cette liste n' est pas exhaustive). 

- Sac a dos de Merckle-Hellman : 

Ce systeme de chiffrement est base sur la 
difficulty du probleme de la somme de sous- 
ensembles . 

- McEliece : 

Ce systeme de chiffrement est base sur la 
theorie des codes algebriques. II est bas6 sur 
le probleme du decodage de codes lineaires. 

- ElGamal : 

Ce systeme de chiffrement est bas6 sur la 
difficult^ du logarithme discret dans un corps 
fini. 

- Courbes elliptiques : 

Le systeme de chiffrement a courbe 
elliptique constitue une modification de 
systemes cryptogr aphiques existant pour les 
appliquer au domaine des courbes elliptiques. 

L' utilisation de courbes elliptiques dans 
des systemes crypt ographiques fut propose 
independamment par Victor Miller et Neal Koblitz 
en 1985. Les applications reelles des courbes 
elliptiques ont ete envisagees au debut des 
ann6es 1990. 



L'avantage de crypt osyst ernes & base de courbe 
elliptique est qu' ils fournissent une securite 
equivalente aux autres crypt osystemes mais avec 
des tailles de clef moindres. Ce gain en taille 
5 de cl<§ implique une diminution des besoins en 
memoire et une reduction des temps de calcul, ce 
qui rend 1' utilisation des courbes elliptiques 
part iculierement adaptees pour des applications 
de type carte a puce. 

10 

Une courbe elliptique sur un corps fini 
GF(q A n) (q etant un nombre premier et n un 
entier) est 1' ensemble des points (x,y) avec x 
1' abscisse et y 1' ordonnee appartenant a GF(q A n) 
15 solution de l f equation : 

y A 2=x A 3+ax+b 

si q est superieur ou egal a 3 et 

20 

y^2+x*y=x^3+a*x A 2+b 
si q=2 . 

25 Les deux classes de courbes elliptiques les 

plus utilisees en crypt ographie sont les classes 
suivantes : 

1) Courbes definies sur le corps fini GF(p) 
30 (ensemble des entiers modulo p f p etant un 

nombre premier) ayant pour equation: 



y A 2=x A 3+ax=b 



2) Courbes elliptiques sur le corps fini 
GF(2 A n) ayant pour equation y A 2+xy=x A 3+ax A 2+b 

5 Pour chacune de ces deux classes de courbes, on 
definit une operation d' addition de points: 
etant donne deux points P et Q, la somme R=P+Q 
est un point de la courbe, dont les 
coordonnees s'expriment a l'aide des 

10 coordonnees des points P et Q suivant des 

formules dont 1' expression est donnee dans 
l'ouvrage « Elliptic Curve public key 
cryptosystem » par Alfred J. Menezes. 
Cette operation d' addition permet de definir une 

15 operation de multiplication scalaire: etant 

donne un point P appartenant a une courbe 
elliptique et un entier d, le resultat de la 
multiplication scalaire de P par un point d 
tel que Q = d . P = P + PP . . . +P d fois. 

20 



La securite des algorithmes de crypt ographie sur 
courbes elliptiques est basee sur la difficulty 
25 du logarithme discret sur courbes elliptiques, 
ledit probleme consistant a partir de deux 
points Q et P appartenant a une courbe 
elliptique E, de trouver, s'il existe, un entier 
x tel que Q=x . P 

30 

11 existe de nombreux algorithmes 

cryptographiques bases sur le probleme du 
logarithme discret. 



Ces algor ithme s sont facilement transposables 
aux courbes elliptiques. Ainsi, il est possible 
de mettre en ceuvre des algorithmes assurant 
1 ' authent i f icat ion, la conf identialite, le 
5 controle d'integrite et l'echange de cle. 

Un point commun a la plupart des algorithmes 
crypt ographique s bas6s sur les courbes 
elliptiques est qu'ils comprennent comme 

10 parametre une courbe elliptique definie sur un 
corps f ini et un point P appartenant a cette 
courbe elliptique. La cle privee est un entier d 
choisi aleatoirement. La clef publique est un 
point de la courbe Q tel que Q=d.P. Ces 

15 algorithmes cr ypt ographique s font generalement 
intervenir une multiplication scalaire dans le 
calcul d' un point R=d.T ou d est la clef 
secrete . 

20 Dans ce paragraphe, on decrit un algorithme de 
chif f rement a base de courbe elliptique. Ce 
schema est analogue au schema de chif f rement 
d' El Gamal. Un message m est chif f re de la 
maniere suivante : 

25 

Le chiffreur choisit un entier k aleatoirement 
et calcule les points . k. P= (xl , yl ) et k.Q=(x2,y2) 
de la courbe, et l'entier c= x2 + m. Le chif f re 
de m est le triplet (xl,yl,c) . 
30 Le dechif freur qui possede d dechif f re m en 
calculant : 

(x f 2, y' 2) «d (xl, yl ) et m=c-x' 2 



Pour realiser les multiplications scalaires 
necessaires dans les procede de calcul decrits 
precedemment, plusieurs algor ithmes existent : 



5 Algorithme w double and add " ; 

Algorithme " addition-sous tract ion " 
Algorithme avec chaines d' addition ; 
Algorithme avec fenetre ; 

Algorithme avec representation signee ; 

10 

Cette liste n'est pas exhaustive, L' algorithme 
le plus simple et le plus utilise est 
1' algorithme " double and add L' algorithme 

" double and add " prend en entree un point P 

15 appartenant a une courbe elliptique donnee et un 
entier d. L'entier d est note d= ( d ( t ) , d ( t - 1 ) , ... , 
d(0)), oil (d (t) , d (t-1) , d (0) ) est la 

representation binaire de d, avec d(t) le bit de 
poids fort et d(0) le bit de poids faible. 

20 L' algorithme retourne en sortie le point Q=d.P. 

L' algorithme ^ double and add " comporte les 3 
etapes suivantes : 



25 1) Initialiser le point Q avec la valeur P 

2) Pour i allant de t-1 a 0 executer : 
2a) Remplacer Q par 2Q 

2b) Si d(i)=l remplacer Q par Q+P 

3) Retourner Q. 



30 



10 



15 



II est apparu que 1' implementation sur carte a 
puce d'un algorithme de chiffrement a cle 
publique du type courbe elliptique etait 
vulnerable a des attaques consistant en une 
analyse dif f erentielle de consommation de 
courant permettant de retrouver la cl6 priv6e de 
dechif f rement . Ces attaques sont appelees 
attaques DPA, acronyme pour Differential Power 
Analysis. Le principe de ces attaques DPA repose 
sur le fait que la consommat ion de courant du 
microprocesseur executant des instructions varie 
selon la donnee manipulee. 

En particulier, lorsqu'une instruction manipule 
une donnee dont un bit particulier est constant/ 
la valeur des autres bits pouvant varier, 
1' analyse de la consommation de courant liee a 
1' ins t ruction raontre que la consommation moyenne 
de 1' instruction n'est pas la meme suivant que 
20 le bit particulier prend la valeur 0 ou 1. 
L'attaque de type DPA permet done d' obtenir des 
informations supplementa ires sur les donnees 
intermediaires manipulees par le microprocesseur 
de la carte lors de l'execution d'un algorithme 
25 cryptographique. Ces informations 

supplementaires peuvent dans certain cas 
permettre de reveler les parametres prives de 
1' algorithme de dechif f rement, rendant le 
systeme cryptographique non sur. 

30 



Dans la suite de ce document on decrit un 
procede d' attaque DPA sur un algorithme de type 
courbe elliptique realisant une operation du 
type multiplication scalaire d'un point P par un 
5 entier d, rentier, d etant la cle secrete, Cette 
attaque permet de reveler directement la cle 
secrete d. Elle compromet done gravement la 
securite de 1' implementation de courbes 
elliptiques sur une carte a puce. 

10 

La premiere etape de 1' attaque est 
1 ' enregist rement de la consommation de courant 
cor respondant a l'execution de l'algorithme 
xx double and add " decrit precedemment pour N 
15 points distincts P(l) P(N). Dans un 

algorithme a base de courbes elliptiques, le 
microprocesseur de la carte a puce va effectuer 
N multiplications scalaires d . P ( 1 ),..., d . P (N ) . 

20 Pour la clarte de la description de 1' attaque, 
on commence par decrire une methode permettant 
d' obtenir la valeur du bit d(t-l) de la cle 
secrete d, ou ( d ( t ) , d ( t - 1 ) , ... , d(0)) est la 
representation binaire de d, avec d(t) le bit de 

25 poids fort et d(0) le bit de poids faible. On 
donne ensuite la description d'un algorithme qui 
permet de retrouver la valeur de d. 

On groupe les points P(l) a P(N) suivant la 
30 valeur du dernier bit de 1'abscisse de 4.P, ou P 
designe un des points P(l) a P(N). Le premier 
groupe est constitue des points P tels que le 
dernier bit de 1'abscisse de 4.P est egal a 1. 




Le second groupe est constitue des points P tels 
que le dernier bit de l'abscisse de 4.P est egal 
a 0. On calcule la moyenne des consommat ions de 
courant correspondant a chacun des deux groupes, 
et on calcule la courbe de difference entre ces 
deux moyennes. 

Si le bit d(t-l) de d est egal a 0, alors 
ralgorithme de multiplication scalaire 

precedemment decrit calcule et met en memoire la 
valeur de 4. P. Cela signifie que lors de 
l'execution de l'algorithme dans une carte a 
puce , le microprocesseur de la carte va 
ef f ect ivement calculer 4.P. Dans ce cas, dans le 
premier groupe de message le dernier bit de la 
donnee manipulee par le microprocesseur est 
toujours a 1, et dans le deuxieme groupe de 
message le dernier bit de la donnee manipulee 
est toujours a 0. La moyenne des consommat ions 
de courant correspondant & chaque groupe est 
done dif ferente. II apparait done dans la courbe 
de difference entre les 2 moyennes un pic de 
dif f erentiel de consommation de courant. 

25 Si au contraire le bit d(t-l) de d est egal a 
1, l'algorithme d' exponent iat ion decrit 

precedemment ne calcule pas le point 4. P. Lors 
de l'execution de l'algorithme par la carte a 
puce, le microprocesseur ne manipule done jamais 

30 la donnee 4. P. II n'apparait done pas de pic de 
dif f erentiel de consommation. 



Cette methode permet done de determiner la 
valeur du bit d(t-l) de d. 

L' algorithme decrit dans le paragraphe suivant 
5 est une generalisation de 1' algorithme 
precedant. II permet de determiner la valeur de 
la cle secrete d : 

On definit 1'entree par N points notes P(l) a 
10 P(N) correspondant a N calculs realises par la 
carte a puce et la sortie par un entier h. 

Ledit algorithme s'effectue de la maniere 
suivante en trois etapes. 

15 

1) Executer h-1 ; 

2) Pour i allant de t-1 a 1, executer : 

2)1) Classer les points P(l) a P(N) suivant la 
valeur du dernier bit de 1' abscisse de 
20 (4*h) . P ; 

2)2) Calculer la moyenne de consommation de 
courant pour chacun des deux groupes ; 

2)3) Calculer la difference entre les 2 
moyennes ; 

25 2)4) Si la difference fait apparaitre un pic de 
differentiel de consommation, faire 
h = h*2 ; sinon faire h=^h*2 + l ; 

3) Retourner h. 

30 L' algorithme precedent fournit un entier h tel 
que d=2*h ou d=2*h+l. Pour obtenir la valeur de 
d, il suffit ensuite de tester les deux 
hypotheses possibles . 



L'attaque de type DPA decrite permet done de 
retrouver la cle privee d. 

Le procede de 1' invention consiste en 
5 1' elaboration de trois cont re-me sur es permettant 
de se premunir contre 1'attaque DPA precedemment 
decrite . 

Le procede de la premiere cont re-mesure consiste 
10 a calculer a partir de la cle privee d et du 
nombre de points n de la courbe elliptique un 
nouvel entier de dechif f rement d' , tel que le 
dechif f rement d'un message chiffre quelconque 
avec d' donne le meme resultat qu'avec d. 

15 

Dans le cas d'un algorithme crypt ographique base 
sur 1' utilisation de courbes elliptiques 
realisant l'operation Q = d.P ou d est la cle 
privee et P un point de la courbe, le calcul de 
20 Q=d.P est remplace par le procede suivant en 
quatre etapes: 

1) Determination d'un parametre de securite s, 
dans la pratique on peut prendre s voisin de 30. 

25 

2) Tirage d'un nombre aleatoire k compris entre 
0 et 2^s; 

3) Calcul de l'entier d' =d+k*n; 

30 

4) Calcul de Q=d' .P. 



Le procede de la premiere cont re-mesure comprend 
deux variantes qui concernent la mise a jour de 
1' entier d' . La premiere variante consiste en ce 
qu'un nouvel entier de dechif f rement d' est 
5 calcule a chaque nouvelle execution de 
l'algorithme de dechif f rement , selon le procede 
decrit precedemment. La seconde variante 
consiste en ce qu'un compteur est increments a 
chaque nouvelle execution de l'algorithme de 
10 dechi ff rement . Lorsque ce compteur atteint une 
valeur fixee T, un nouvel entier de 
dechif f rement d' est calcule selon le procede 
decrit precedemment, et le compteur est remis & 
zero. Dans la pratique, on peut prendre T=16. 

15 

Le procede de la premiere cont re-mesure rend 
done l'attaque DPA precedemment decrite 
impossible en changeant d f entier d de 
dechi f f rement . 

20 

Le procede de la deuxieme contre-mesure 
s' applique a la premiere classe de courbes 
precedemment decrites, c' est a dire les courbes 
definies sur le corps fini GF(p) ayant pour 

25 equation y A 2=x A 3+ax+b. Le procede de la deuxieme 
contre-mesure consiste a utiliser un module de 
calcul aleatoire a chaque nouvelle execution. Ce 
module aleatoire est de la forme p'= p*r ou r 
est un entier aleatoire. L'operation de 

30 multiplication scalaire Q=d.p realisee dans un 
algorithme a base de courbe elliptique 
s'effectue alors selon le procede suivant en 
cinq et apes : 



1) Determination d'un parametre de securite s; 
dans la pratique, on peut prendre s voisin du 
nombre 60; 

5 2) Tirage du nombre aleatoire r dont la 
representation binaire fait s bits; 

3) Calcul de p'=p*r; 

4) Executer l'operation de multiplication 
scalaire Q=d.P, les operations etant effectuees 

10 modulo p' ; 

5) Effectuer l'operation de reduction modulo p 
des coordonnees du point Q. 

Le procede de la seconde contre-mesure comprend 
15 deux variantes qui concernent la rnise a jour de 
1' entier r. La premiere variante consiste en ce 
qu'un nouvel entier r est calcule a chaque 
nouvelle execution de 1 ' algor i t hme de 

dechif frement, selon le procede decrit 

20 precedemment . La seconde variante consiste en ce 
qu'un compteur est increments a chaque nouvelle 
execution de l'algorithme de dechiff rement . 
Lorsque ce compteur atteint une valeur fix »e T , 
un nouvel entier r est calcule selon le procede 
25 decrit precedemment, et le compteur est remis & 
zero.. Dans la pratique, on peut prendre T + 16. 

Le procede de la troisieme contre-mesure 
consiste a « masquer » le point P sur lequel on 
30 veut appliquer l'algorithme de multiplication 
scalaire en lui ajoutant un point aleatoire R. 



10 



Le procede de multiplication scalaire ci' un point 
P par un entier d suivant Q=d.P comprend les 
cinq etapes suivantes: 

5 1) Tirage d'un point aleatoire R sur la courbe; 

2) Calcul de P' =P+R; 

3) Operation de multiplication scalaire Q'=d.P'; 

4) Operation de multiplication scalaire S=d.R; 

5) Calcul de Q=Q' - S. 



15 Le procede de la troisieme cont re-mesur e 
comprend trois variantes. la premiere variante 
consiste en ce qu'un compteur est increments & 
chaque nouvelle execution de l'algorithme de 
dechi ff rement . Lors de la premiere execution de 

20 l'algorithme de dechiff rement, 1 ' algor it hrne est 
execute suivant le procede en cinq etapes decrit 
precedemment. Tant que le compteur n' a pas 
atteint la valeur limite T, les etapes 1 et 4 du 
procede decrit precedemment ne sont pas 

25 executees, les points R et S gardant les valeurs 
prises lors de 1'execution precedente. Lorsque 
le compteur atteint la valeur limite T , 
1'algorithme de dechiff rement s »effectue 
suivant le procede decrit precedemment en cinq 

30 etapes, et le compteur est remis a zero. Dans la 
pratique, on peut prendre T=16. 



• 1. • 



La deuxieme variante consiste en ce que la carte 
possede initialement en memoire deux points de 
la courbe elliptique tels que S=d.R. Les etapes 
1 et 4 de 1 ' algori thme de dechif f rement 
5 precedent sont remplacees par les etapes 1' et 
4' suivantes: 

1') Remplacer R par 2.R: 

10 4') Remplacer S par 2.S. 

La troisieme variante consiste en une 
modification de la deuxieme variante 

caracterisee en ce qu'un compteur est incremente 

15 a chaque nouvelle execution de 1 ' algori thme de 
dechif f rement . Lors de la premiere execution de 
1 ' a Igor i thine de dechif f rement , l'algorithme est 
execute suivant le procede en cinq etapes de la 
deuxieme variante decrit precedemment . Tant que 

20 le compteur n'a pas atteint une valeur limite T, 
les etapes 1' et 4' du proced§ decrit 
precedemment ne sont pas executees, les points R 
et S gardant les valeurs prises lors de 
1' execution precedente. Lorsque le compteur 

25 atteint une valeur limite T, 1' algorithme de 
dechif f rement s'ef fectue suivant le procede 
precedemment decrit en cinq etapes, et le 
compteur est remis & zero. Dans la pratique, on 
peut prendre T-16. 

30 



L' application des trois procedes de contre- 
mesure precedents permet de proteger tout 
l'algorithme crypt ographique base sur les 
courbes elliptiques contre l'attaque DPA 
5 precedemment decrit . Les trois cont re-mesur e s 
presentees sont de plus compatibles entre elles: 
il est possible d'appliquer a l'algorithme de 
dechif frement RSA une, deux ou trois des contre- 
mesures decrites. 
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RE VEND I CAT I ON S 

1- Procede de cont r e-mesure dans un composant 
electronique mettant en oeuvre un algorithme de 
cryptographie a cle publique base sur 
1 1 utilisation des courbes elliptiques consistant 

5 a calculer a partir de la cle privee d et du 
nombre de points n de ladite courbe elliptique 
un nouvel entier de dechif f rement d' tel que le 
dechif frement d'un message chiffre quelconque, 
aumoyen d'un algorithme de dechif fremet, avec d' 
10 donne le meme resultat qu'avec d, en realisant 
1* operation Q=d*P, P etant un point de la 
courbe, procede caracterise en ce qu'il comprend 
quatre etapes: 

15 1). Determination d'un parametre de securite s, 
dans la pratique on peut prendre s voisin de 30; 
2) Tirage d'un nombre aleatoire k compris entre 
0 et 2^s; 

20 3) Calcul de l'entier d'=d+k*n; 

4 ) Calcul de Q = d' . P . 

2- Procede de cont r e-mesur e selon la 
25 revendication 1 caracterise en ce qu'une 

premiere variante consiste en ce qu'un nouvel 
entier de dechif frement d' est calcule a chaque 
nouvelle execution de 1 'algorithme de 

dechif frement. 



3- Procede de contre-mesure selon la 
revendication 1 caracterise en ce qu'une seconde 
variante consiste en ce qu'un compteur est 
increments a chaque nouvelle execution de 

5 1 1 agorithme de dechi f f rement jusqu'a atteindre 
une valeur fixee T. 

4- Procede de contre-mesure selon la 
revendication 3 caracterise en ce qu'une fois la 

10 valeur T atteinte, un nouvel entier de 
chiffrement est calcule selon le procede de la 
revendication 1 et le compteur est remis a zero. 

5- Procede de contre-mesure selon la 
15 revendication 3 caracterise la valeur T est 

egale a 1 'entier seize. 

6- Procede de contre-mesure dans un composant 
electronique mettant en oeuvre un algorithme de 

20 cryptographie a cle publique base sur 
1 ' utilisation des courbes elliptiques definies 
sur un corps fini GF(p), p etant un nombre 
premier, ayant pour equation y A 2=x A 3+ax+b, 
consistant a utiliser un module de calcul 

25 aleatoire a chaque nouvelle execution de la 
forme p ,= p*r ou r est un entier aleatoire et 
presentant un point P caracterise en ce que 
ledit procede execute l f operation de 

multiplication scalaire en cinq etapes: 

30 
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1) Determination d'un parametre de securite s; 
dans la pratique, on peut prendre s voisin du 
nombre 60; 

2) Tirage du nombre aleatoire r dont la 
5 representation binaire fait s bits; 

3) Calcul de p'=p*r; 

4) Executer l'operation de multiplication 
scalaire Q=d.P, les operations etant effectuees 
modulo p' ; 

10 5) Effectuer l'operation de reduction modulo p 
des coordonnees du point Q. 

7- Procede de cont r e-mesure selon la 
revendicat ion 6 caracterise en ce qu 1 un nouvel 

15 entier est calcule a chaque nouvelle execution 
de l f algorithme de dechi f f rement . 

8- Procede de cont re-me sure selon la 
r e vendicat ion 6 caracterise en ce qu 1 un compteur 

20 est increments a chaque nouvelle execution de 
1 '.algorithme de dechiff rement . 

9- Procede de cont re-mesure selon la 
revendicat ion 8 caracterise en ce que le 

25 compteur est remis a zero lorsqu'il a atteint 
une valeur T. 

10- Procede de contre-mesure selon la 
revendicat ion 8 ou la revendicat ion 9 

30 caracterise en ce que la valeur T est egale a 
seize . 
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11. Procede de cont re-me sure dans un composant 
electronique mettant en oeuvre un algorithme de 
cryptogr aphie a cle publique bas6 sur 
5 1 ' utili sat ion des courbes ellipt iques consistant 
a calculer v% partir de la cle privee d et du 
nombre de points n de ladite courbe elliptique 
un nouvel entier de dechif f rement d' tel que le 
dechif f rement d 1 un message chiffre quelconque, 

10 aumoyen d'un algorithme de dechi f f r erne t , avec d' 
donne le meme resultat qu'avec d, en realisant 
l'operation Q=d*P, P etant un point de la courbe 
sur lequel est applique l'algorithme de 
multiplication scalaire en lui ajoutant un point 

15 aleatoire R par un entier d suiavant l'equation 
Q=d*P / procede caracterise en ce qu'il comprend 
cinq etapes suivantes: 



20 



1) Tirage d'un point aleatoire R sur la courbe; 

2) Calcul de P' =P+R; 

3) Operation de multiplication scalaire Q'=d.P'; 
25 4) Operation de multiplication scalaire S=d.R; 

5) Calcul de Q=Q' - S. 



30 



12- Procede 
revendication 
compteur est 



de contre-mesure selon la 
12 caracterise en ce qu 1 un 
increments a chaque nouvelle 
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execution de 1 1 algor ithme de dechif f rement 
jusqu'a une valeur T. 

13- Procede de contre-mesure selon la 
5 revendicat ion 12 caracterise en ce que le 

compteur est remis £ zero une fois atteint la 
valeur t. 

14- Procede de contre-mesure selon la 
10 revendication 12 caracterise en ce qu'un 

compteur est increments a chaque nouvelle 
execution de I'algorithme de - dechif f rement 
jusqu'a une valeur T. 

15 15- Procede de contre-mesure selon la 
revendication 11 caracterise en ce que la courbe 
elliptique possede en memoire deux points tels 
que S=d*R, les etapes 1 et 4 etant alors 
remplace par les etapes l 1 et 4': 

20 

1') Remplacer R par 2.R: 

4') Remplacer S par 2.S. 

25 16- Procede de contre-mesure selon la 
revendication 15 caracterise en ce qu'un 
compteur est increments a chaque nouvelle 
execution de I'algorithme de dechif f rement 
jusqu'a une valeur T. 



30 
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17- Procede de cont re-mesure selon la 
re vendicat ion 15 caracterise en ce qu 1 un 
compteur est incremente a chaque nouvelle 
execution de 1 ' algor ithme de dechif f rement 
jusqu'a une valeur T. 
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11- Procede de contre-mesure dans un 
composant electronique mettant en oeuvre un 
algorithme de cryptogr aphie £ cle publique 
base sur 1 f utilisation des courbes 
elliptiques consistant a calculer & partir 
de la cle privee d et du nombre de points n 
de ladite courbe elliptique un nouvel entier 
de dechif frement d 1 tel que le dechif frement 
d 1 un message chiffre quelconque, au moyen 
d ' un algorithme de dechif frement, avec d' 
donne le iaeme resultat qu f avec d, en 
realisant l'operation Q=d*P, P etant un 
point de la courbe sur lequel est appliquS 

- 1 1 algorithme de multiplication scalaire en 
lui ajoutant un point aleatoire R par un 
entier d suivant l'equation Q=d*P, proced§ 
caracterise en ce qu'il comprend cinq etapes 
suivant es : 

1) Tirage d'un point aleatoire R sur la 
courbe; 

2) Calcul de P f =P+R; 

3) Operation de multiplication scalaire 
Q f =d. P 1 ; 

4) Operation de multiplication scalaire 
S-d.R; 

5) Calcul de Q=Q f - S. 

12- Proced6 de contre-mesure dans un 
composant electronique selon la 
revendicat ion 11 caracterise en ce que ledit 
composant comprend un compteur increments & 
chaque nouvelle execution de l f algorithme de 
dechif frement jusqu T a une valeur T. 
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13- 



Procede 



de 



contre-mesure 



selon 



la 



revendi cation 



12 



caracterise 



en 



ce 



que 



le 



compteur est remis a zero une fois atteint 
la valeur T. 

14- Procede de contre-mesure selon la 
revendication 11 caracterisS en ce que la 
courbe elliptique possede en memoire deux 
points tels que S=d*R, les etapes 1 et 4 
etant alors remplacees par les etapes l'et 
4' : 

1') Remplacer R par 2.R: 
4 f ) Remplacer S par 2.S. 

15- Procede de contre-mesure selon la 
revendication 5 caracterise en ce qu 1 un 
compteur est increments a chaque nouvelle 
execution de l'algorithme de dechif frement 
jusqu'a une valeur T. 

16- Procede de contre-mesure selon la 
revendication 15 caracterise en ce qu f un 
compteur est increments a chaque nouvelle 
execution de l'algorithme de dechif frement 
jusqu f a une valeur T. 
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